Revista >> Bankwatch Mai 2010 [Nr. 13] >> Securitate

Managementul vulnerabilităţilor - O şansă în plus?

Razvan Grigorescu

01 Iunie 2010

RĂzvan GRIGORESCU
CEC Bank SA - CISO/Chief Information Security Officer
Preşedinte al comisiei ARB de Securitate IT&C

Benjamin Franklin spunea odată: „O uncie de prevenţie echivalează unei jumătăţi de kilogram de corecţie”. „Actualizările şi managementul vulnerabilităţilor” repre-zintă acea „uncie de prevenţie” versus jumătatea „de kilogram de corecţie”, care reprezintă demersuri de tipul răspuns la incident.

Călcâiul lui Ahile...

În timp ce plănuiam structura acestui articol, fiul meu de 5 ani, care până în acel moment urmărise cu interes un DVD cu desene animate, m-a întrebat cu ochi mari şi curioşi: „Tati! De ce Ahile nu şi-a protejat mai bine piciorul în lupta?”... Super!? Nu mă gândisem, dar i-am povestit despre cum Ahile fusese îmbăiat de către mama sa Thetys în râul Styx ţinându-l de călcâiul în cauză (făcusem o pasiune în copilărie pentru „Legendele Olimpului” de Alexandru Mitru)... şi atunci am realizat... Crede-ţi-mă, am recitit pasajul morţii lui Ahile şi am încercat să găsesc pe Internet orice referire pe această temă... Se pare că Ahile NU ŞTIA că are acel punct sensibil... dar existau persoane (zei) care îi cunoşteau această taină... Cât de actual!

Oameni, reglementări, experienţă...

Aminteam în alte articole despre curiozitatea pe care încă o suscită în rândul oamenilor, meseria de CISO... Am avut ocazia şi onoarea să dialoghez pe această temă cu persoane care îşi desfăşoară activitatea în cele mai variate industrii... Securitatea informaţiei reprezintă un domeniu de actualitate, care pe lângă reglementările şi cele mai bune practici existente, rămâne în mare măsură dominat de experienţa individuală şi talentul personal...

Îmi place să afirm că, pentru a fi eficienţi în acest domeniu, suntem obligaţi să învăţăm mereu şi să uităm repede pentru a ne menţine deschişi la noile abordări şi ameninţări, să evităm să ne cramponăm de trecut, dar să ne bazăm pe experienţa recentă a altora....

Provocarea supremă: Să iei în calcul neprevăzutul

Discutam zilele trecute cu un amic (omolog în altă instituţie financiară)... Cheltuiseră sume apreciabile pentru punerea la punct a unui Plan de Continuitate al Afacerii... Parte a ciclului de viaţă al unui astfel de program de management al continuităţii îl constituie testarea periodică şi îmbunătăţirea permanentă.

Imaginaţi-vă că s-au pregătit luni de zile pentru desfăşurarea unui test de comutare pe scară largă la Centrul de Recuperare în Caz de Dezastru, aflat la câteva sute de kilometri distanţă... A fost luat absolut totul în calcul: de la implicarea Conducerii şi alocarea bugetului, formalizarea acţiunii, definirea cerinţelor/aşteptărilor, exersarea în prealabil pe echipe de intervenţie, până la activarea planurilor de transport şi cazare, notificare şi răspuns în situaţii de criză... Şi iată că vine ziua mult aşteptată:

- Se confirmă acţiunea;
- Autocarul este pregătit;
- Echipele sunt prezente la apel;
- Singurul şofer al instituţiei care posedă carnet de conducere de categorie D, (destinat transportului de persoane având mai mult de 8 locuri pe scaune), făcuse în acea dimineaţă varicelă!?

Nu este uşor... Nu iese din prima, dar nu trebuie capitulat...

Prevenţie versus Corecţie

Decizia asupra când şi cum să tratezi riscurile prin intermediul aplicării remediilor recomandate de furnizorii aplicaţiilor, ar trebui să survină în urma unei analize comparative în timp, ale resurselor şi efortului financiar implicat.

Să ne imaginăm un scenariu prin care un virus pătrunde în perimetrul organizaţiei, având caracteristici de replicare rapidă şi deteriorare gravă a integrităţii şi prestaţiilor staţiilor de lucru cu care vine în contact. Costurile estimate care vor surveni în situaţia în care nu se intervine în sensul măsurilor de prevenţie se calculează după cum urmează: